Nuova falla in Pulse Connect Secure VPN

Pulse Secure sta lavorando alla patch definitiva per una falla che potrebbe consentire a un attaccante di eseguire codice arbitrario. Nel frattempo ha pubblicato una misura di mitigazione.

Business Vulnerabilità
Le VPN Pulse Secure sono afflitte da una vulnerabilità critica che può consentire a un attaccante remoto autenticato di eseguire codice arbitrario con privilegi elevati. La falla, identificata con la sigla CVE-2021-22908, ha un punteggio CVSS di 8.5 su 10 ed è attiva sulle versioni Pulse Connect Secure 9.0Rx e 9.1Rx.

Sulla pagina ufficiale del CERT dedicata alla vulnerabilità si fa riferimento a un problema di buffer overflow nel del buffer nel codice correlato a Samba, che si attiverebbe quando si specifica un nome di server lungo per alcune operazioni SMB.

PCS prevede la possibilità di connettersi ai Windows file shares (SMB). Si tratta di una funzionalità fornita da un certo numero di script CGI, che a loro volta utilizzano librerie e applicazioni basate su Samba 4.5.10. Quando si specifica un nome di server lungo per alcune operazioni SMB, l'applicazione potrebbe bloccarsi a causa di un overflow del buffer dello stack, o di un overflow del buffer dell'heap.

Se questo accade, l'utente autenticato da remoto con privilegi potrebbe sfogliare le condivisioni SMB ed eseguire codice arbitrario come utente root. Non accade in tutti i casi. Gli esperti del CERT fanno notare che per essere vulnerabile, un server PCS deve avere impostato un criterio di Windows File Access o un altro set di criteri che consenta a un utente di connettersi a un server arbitrario.

pulseInoltre, qualsiasi dispositivo PCS con installata la versione 9.1R2 o precedente avrà un criterio predefinito che consente la connessione a host SMB arbitrari. A partire da 9.1R3, questo criterio è stato modificato e la negazione dell'accesso è il parametro predefinito.

Per chiudere la falla bisognerà aggiornare la versione del software Pulse Connect Secure alla versione 9.1R.11.5 non appena sarà disponibile. Nel frattempo, Ivanti ha pubblicato una misura di mitigazione. Consiste nel download e installazione del file remove-workaround-2105.xml, che disabilita la funzionalità Windows File Share Browser e attiva negli endpoint vulnerabili a una blacklist che li protegge dagli attacchi basati su URL che sfruttano questa falla.

Le indicazioni per il download e l'importazione sono pubblicate sulla pagina ufficiale del produttore. Da notare che gli utenti che eseguono la versione di PCS 9.1R11.3 o successive dovrebbero importare un file diverso, denominato remove-workaround-2104.xml.

Ricordiamo che poche settimane fa Pulse Secure ha pubblicato anche gli strumenti di mitigazione di un'altra vulnerabilità, questa volta più grave perché zero-day e già attivamente sfruttata. Il lavoro di monitoraggio e correzione delle falle da parte dei produttori è assiduo e importante per la sicurezza degli utenti. Questi ultimi però devono installare gli update o le mitigazioni non appena disponibili per evitare gravi problemi di sicurezza.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale sicurezza mobile

Speciale

Proteggere il nuovo smart working

Speciale

Sicurezza cloud native

Speciale

Backup e protezione dei dati

Speciale

Speciale video sorveglianza

Calendario Tutto

Set 30
Webinar Kaspersky - Guai con i ransomware? Volete essere flessibili ma al riparo da attacchi informatici?
Ott 05
VMworld 5-7 ottobre 2021
Ott 12
Webinar Zyxel - Uffici “ibridi” e modalità di lavoro “fluida"

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori